🔍 บทนำ

(เนื้อหาเริ่มต้นของบทความ Maltego Relationship Mapping: วาดแผนผังความสัมพันธ์จากข้อมูลเครือข่าย)

บทที่ 12 นี้คือขั้นตอนการ “ต่อจิ๊กซอว์” ครับ หลังจากที่เราได้ข้อมูลมหาศาลจาก Tshark, Zeek และ Spiderfoot มาแล้ว ความท้าทายคือจะทำอย่างไรให้เราเห็น “ภาพรวม” ของความสัมพันธ์เหล่านั้น

Maltego คือเครื่องมือระดับมาตรฐานสากลที่นักวิเคราะห์ภัยคุกคามและนักสืบดิจิทัลใช้เพื่อเปลี่ยน “รายการข้อมูล” (Lists) ให้กลายเป็น “แผนผังความสัมพันธ์” (Link Analysis Graph) เพื่อหาว่าใครคือตัวบงการที่อยู่เบื้องหลังโครงข่ายนี้ครับ

🕸️ 12-Maltego Relationship Mapping: วาดแผนผังความสัมพันธ์จากข้อมูลเครือข่าย

หาก Spiderfoot คือหุ่นยนต์ที่ไปขุดหาเบาะแส Maltego ก็คือ “กระดานสืบสวน” ที่เราใช้ปักหมุดและโยงด้ายสีแดงเข้าหากันครับ มันช่วยให้เราเห็นความเชื่อมโยงที่มองไม่เห็นด้วยตาเปล่า เช่น IP Address 3 ตัวที่ดูเหมือนไม่เกี่ยวกัน จริงๆ แล้วอาจจะจดทะเบียนด้วยอีเมลเดียวกัน หรือมาจากบริษัทเดียวกันก็ได้

📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary)

คำศัพท์คำอ่านความหมายในเชิงเทคนิค
Entityเอน-ทิ-ตี“วัตถุ” บนแผนผัง เช่น ชื่อคน, เบอร์โทรศัพท์, IP Address, หรือชื่อโดเมน
Transformทรานส์-ฟอร์ม“ฟังก์ชันการขุด” คือการสั่งให้ Entity หนึ่งไปค้นหาข้อมูลที่เกี่ยวข้อง (เช่น สั่งให้ IP ไปหา Domain)
Link Analysisลิงก์ อะ-แน-ลิ-ซิสการวิเคราะห์หาความสัมพันธ์ผ่านเส้นที่เชื่อมต่อกันระหว่างวัตถุ
Hubฮับจุดรวมที่มีเส้นเชื่อมต่อเข้ามาเยอะที่สุด มักเป็น “จุดยุทธศาสตร์” ของเป้าหมาย
Pivotพิ-ว็อตการเปลี่ยนจุดสนใจ เช่น เริ่มจากสืบ IP แล้ว “Pivot” ไปสืบอีเมลที่ค้นเจอแทน

🔍 กลไกการทำงาน: Entities & Transforms

Maltego ทำงานบนหลักการของ Nodes (ปม) และ Edges (เส้นเชื่อม):

  1. Entities: คุณเริ่มด้วยการลาก “Entity” มาวางบนกระดาน เช่น ลากรูปคอมพิวเตอร์ (IP Address) มาวาง

  2. Running Transforms: คุณคลิกขวาที่ IP นั้นแล้วเลือก Transform เช่น “To Domain Name [DNS]”

  3. Visualizing Results: Maltego จะไปถามฐานข้อมูลทั่วโลก แล้ววาดเส้นโยงจาก IP นั้นไปยังชื่อโดเมนต่างๆ ที่มันพบโดยอัตโนมัติ

🛠 การเริ่มต้นใช้งานบน Arch Linux

Maltego เป็นซอฟต์แวร์แบบ Java ซึ่งคุณสามารถติดตั้งเวอร์ชัน Community (ฟรี) ได้ครับ:

1. การติดตั้ง

Bash

# ติดตั้งผ่าน AUR
yay -S maltego

2. การเตรียมตัว

  • สมัครสมาชิก Maltego Community Edition (CE) เพื่อรับสิทธิ์ใช้งานฟรี

  • ติดตั้งเครื่องมือเสริม (Hub Items) เช่น Shodan, VirusTotal, หรือ WhoisXML เพื่อให้มี Transforms เก่งๆ ไว้ใช้งาน

🕵️ เทคนิคสืบสวน: จาก Log เครือข่าย สู่ แผนผังอาชญากรรม

นักสืบสาย Network จะใช้ Maltego ร่วมกับ Log ที่เราเก็บมาดังนี้ครับ:

  1. Importing Data: นำรายการ IP ที่น่าสงสัยจาก conn.log ของ Zeek เข้ามาใน Maltego

  2. Mapping Infrastructure: ใช้ Transform เพื่อดูว่า IP เหล่านั้นตั้งอยู่ที่ไหน (Geolocation) และเป็นของบริษัทอะไร (AS Number)

  3. Identity Discovery: พยายามโยง IP นั้นไปหาชื่อโดเมน -> ไปหาประวัติ WHOIS -> และไปหาอีเมลของผู้จดทะเบียน

  4. Finding the Pattern: หากคุณพบว่าอีเมลเดียวกันนั้นไปจดทะเบียนโดเมนที่ใช้ปล่อยมัลแวร์อีก 10 แห่ง คุณก็ได้ “แผนที่โครงข่ายคนร้าย” มาอยู่ในมือแล้วครับ

📝 บันทึกการวิเคราะห์: ความงามของกราฟ

  • The Power of Viz: มนุษย์เราประมวลผล “ภาพ” ได้เร็วกว่า “ตัวหนังสือ” การเห็นจุดสีแดงขนาดใหญ่ (Hub) ในกราฟ จะทำให้คุณรู้ทันทีว่าต้องเริ่มโจมตีหรือป้องกันที่จุดไหนก่อน

  • Collaboration: ในการสืบสวนระดับสูง แผนผังนี้สามารถแชร์ให้ทีมงานคนอื่นช่วยกัน “เติมด้าย” ให้ครบสมบูรณ์ได้

💡 ขั้นตอนต่อไปที่คุณควรลอง:

  1. ลองลาก Entity ประเภท Domain มาวาง แล้วพิมพ์ชื่อเว็บที่คุณสนใจ

  2. ลองรัน Transform พื้นฐาน เช่น “To IP Address” และ “To DNS Name” เพื่อดูว่าระบบเบื้องหลังของเขามีความซับซ้อนแค่ไหน